Perchè il riconoscimento facciale non piace alle Autorità per la protezione dei dati

Il riconoscimento facciale è quel servizio fornito da vari dispositivi elettronici, solitamente cellulari che permette di sbloccare lo stesso senza dover inserire alcuna password. Lo stesso porta con sé diversi dubbi in ordine ai dati personali ed alla Autorità, invero, Canada, Australia e Regno Unito, anche le autorità per la privacy francesi hanno imposto a Clearview Ai di sospendere le proprie attività. Il servizio è tuttavia sempre più diffuso non solo sui dispositivi elettronici, ma anche nei centri commerciali, nei ai parchi etc.

Come funziona il riconoscimento facciale

Lo sblocco del dispositivo con il volto funziona in questo modo: il dispositivo scansiona la foto del viso e misura la distanza tra i tratti del viso. In questo modo ogni volta che si va a sbloccare il telefono, l’utente dovrà guardare verso la fotocamera al fine di misurare e confermare l’identità del soggetto. La maggior parte dei software di riconoscimento facciale si basa interamente su immagini 2D, tuttavia la tecnologia 2D non permette una scansione accurata del volto, per questo motivo sta prendendo sempre più piede la tecnologia del 3D che si ottiene attraverso una tecnica chiamata lidar, simile al sonar usato in campo navale. Nel dettaglio i telefoni cellulari, come ad esempio Apple, proiettano una specie di impulso laser sul viso che permette di scansionare in 3D il volto dell’utente e riconoscerlo con certezza.

I problemi che sono stati riscontrati nella tecnologia del riconoscimento facciale

I servizi dell’azienda statunitense Clearview Ai, specializzata nel riconoscimento facciale, sono stati dichiarati illegali. L’azienda non è nuova ad intromissioni nel suo raggio di azione, soprattutto per i servizi di riconoscimento facciale, ma questa volta la declaratoria di illegalità è stata promanata dal Garante della privacy francese. Il Garante Privacy francese, alla stregua di quello italiano è una Autorità indipendente che si occupa del rispetto del Regolamento Europeo sulla protezione dei dati personali, o anche detto GDPR; nonché i reclami avverso le notizie pregiudizievoli concernenti il diritto all’oblio. Invero, tornando alla azienda Clearview Ai, a partire dal 2017, questa ha creato un database contenente circa 10 miliardi di immagini personali; tuttavia le foto sono state acquisite senza consenso online. Questo database a detta dell’azienda è stato acquisito al dine di poter vendere un servizio di identificazione biometrico alle forze dell’ordine. 

Il provvedimento del Garante Privacy 

Come anticipato, il 16 dicembre il Garante per la Privacy francese ha stabilito la violazione di diverse norme del GDPR proprio in ordine al servizio fornito dall’Azienda Clearview Ai. Nel dettaglio è stata ritenuta violata la norma di cui all’art. 6 del GDPR, la quale risponde all’esigenza di legalità del trattamento dei dati, vale a dire la norma punisce chiunque abbia raccolto e utilizzato dati biometrici senza consenso dei dati personali né una base giuridica, nonché senza alcuna valutazione di impatto, in acronimo DPIA. La seconda violazione degli artt. 12, 15 e 17 GDPR per non aver rispettato il diritto delle persone di accedere ai dati in maniera efficace e soddisfacente.

La violazione dell’art. 6 GDPR, la motivazione del Garante

La violazione dell’art. 6, come è stato definito anche dal Garante, è dovuta alle dimensioni e alla natura intrusiva della raccolta summenzionata nonché del trattamento dei dati da parte dell’azienda. Clearview AI il consenso delle persone al fine di usare i loro dati biometrici e non ha alcuna base legale per motivare la loro raccolta e il loro utilizzo per legittimo interesse, poiché non si tratta di un ente pubblico. “Queste persone, le cui fotografie o video sono accessibili su vari siti web e social network, testualmente, non si aspettano, in maniera ragionevole, di vedere le loro immagini elaborate da Clearview Ai per fornire un sistema di riconoscimento facciale che può essere usato dagli stati per scopi di controllo e polizia”.

Cosa dice il Garante in merito alla violazione degli artt. 12, 15 e 17 GDPR

Dalle verifiche operate dallo stesso Garante, è emerso come la Clearview AI abbia concesso agli utenti l’accesso ai dati individuali solo due volte l’anno senza alcun tipo di giustificazione per la negazione delle altre volte. 

La decisione del Garante

Tutto ciò premesso, il Garante francese ha ordinato a Clearview Ai di interrompere tutte le operazioni sia della raccolta che dell’uso di dati di persone che provengono dalla Francia, facilitare l’esercizio dei diritti di accesso ai dati individuali e soddisfare tutte le richieste operate nei loro confronti che hanno ad oggetto il diritto alla cancellazione dei dati personali.